在开始整合过程之前，您必须已经申请并核准了 Onshape Enterprise 帐户或试用版，并且拥有 Onshape Enterprise 域名。

Enterprise 域名的一个例子可能是：MyCompanyName.onshape.com。

请注意，您一次只能使用一个 SSO 提供程序。

This configuration process might fail without parameter values customized for your organization. Use your custom SSO identity provider (for example: Okta, PingOne, or ClassLink) dashboard to add Onshape as an application and record the values that are specific for your organization. You need those values for the following procedure.

Onshape 签署所有发出的 SAML 认证申请。您无需上传任何证书（例如，SAML 签名证书），ADFS 集成除外，因为 ADFS 会验证传入的 SAML 请求。请注意，Microsoft 还建议从最新版本的 ADFS 迁移到微软 Entra ID。有关更多信息，请参阅 ADFS 概述。

步骤

1. 导航到“帐户设置”菜单并选择“企业设置”。

2. 在左侧窗格中选择“身份验证”。

3. 当“身份验证”页面打开时，选择单点登录 (SSO) 标题下的“配置 SSO 提供程序”。此时将打开以下对话框：

   

4. 为配置指定一个名称，例如“Google SSO”。

5. 选择 Google 提供程序类型。

6. 如果您希望通过特定的域名（例如 @companyname.com 或 @schoolname.edu）配置用户，请在域白名单字段中输入该域，不带 @ 符号。（请注意，根据企业 SSO 自动配置设置，这种设置方式会自动将他们分配为完全用户或低用量用户。请参见企业设置 - 首选项，然后导航到单点登录 (SSO) 用户自动配置下拉菜单以获取更多信息。）

   

   使用域白名单意味着，具有该域中的有效电子邮件地址的任何人都被准许以完全用户身份访问 Onshape 企业帐户。通过通用域（如 @gmail.com）配置时应格外小心。

   如果您不希望向特定域中的所有用户都授予准入权限，您可以将该输入框留空，稍后通过由管理员发送的电子邮件将用户添加为企业的成员。切记，该电子邮件必须与用户的 Google SSO 电子邮件相符。如果用户已有 Google 帐户，他们可以在收到电子邮件后立即登录。如果用户没有帐户或其帐户为待决中，Onshape 会激活其企业帐户，并根据在其 Google 个人资料中找到的详细信息设置其 Onshape 名字/姓氏。

7. 选中“启用 SSO 提供程序”框。

8. If you wish to enforce all users to sign in to Onshape via the SSO provider only, check the box next to "Disable Onshape password sign in". When you disable Onshape password sign in, users will see only the sign in for Google, and not for Onshape.

   他们的 Onshape 密码将无效。

   The administrator will also be forced to sign in to Onshape through the Google SSO. As a failsafe, it is highly recommended that admins copy the Password sign in URL and save it in a safe place, in the event they need to sign in directly through Onshape:
   

   选择通过 SSO 强制登录到 Onshape 还会导致用户无法直接登录到非企业域，例如 cad.onshape.com。

---